Web Uygulaması Güvenliği Eğitimi

Merhaba arkadaşlar.  Bugün Taksim Titanic otelde eğitim seminerindeydim.  Ferruh Mavituna’nın blogunda okumuşsunuzdur.  Önceden duyurusunu yapmıştı.  Bugün Ferruh’a yardım için oradaydım.  Güzelde geçti hatta benim içinde verimli bir eğitim oldu diyebilirim.

Sabah Ferruh’la beraber otele doğru yola koyulduk.  Yanıma 3Com router, Cat5e data kablosu, Flash disk ne lazımsa bir güzel aldım.  Açıkcası son anda hazırlık yapmıştım. Hani biraz aceleye getirdik diyebilirim.  Gerçi dün Ferruh sağolsun geldi de üzerinden azıcıkta olsa neler yapacağımızı konuştuk.  Kuracağımız sistemin ne olacağını ince ayrıntılarına kadar düşündükten sonra bu sabah otelde erkenden kurulumlarımıza başladık.

Sistem 20 küsür bilgisayarın ana serverde kurulu olan bir deneme web sayfasına ve SQL ‘e bağlanmasını sağlayacaktık. Aynı zamanda internet kullanacaklar ve eğitimdeki örnekleri kendi PC leri üzerinde test edeceklerdi. Kurulumu bitirdiğimizde saat 9 a geliyordu.  Sonra arkadaşlar tek tek gelmeye başladılar.

Eğitim içeriğine Ferruh  Mavituna’nın blogundan ulaşabilirsiniz.  Kısaca bahsetmek gerekirse TCP-IP ile güzel bir giriş yaptık ön bilgi basit HTML ve kodlar sonrada yavaş yavaş internet sayfalarındaki güvenlik açıklarından bahsetti Ferruh. Bende bu sırada gelen arkadaşların PC’lerine WM-WARE player’i kuruyordum.  Sonrada Win 7 test imajını çalıştırıyordum. Gerçi bazı arkadaşların PC leri Ram ve işlemci yetersizliğinden dolayı aşırı kasıyordu.  Tabiki böyle bir ihtimali düşünmedik değil.  Bu tip durumdaki PC lerin yerellerine gerekli ayarları yapıp gerekli olan programları kurduktan sonra ana bilgisayarımız Samsung X360 a bağlatılarını sağladım.

Yanlış duymadınız. Samsung X360 bu aralar elimden düşmüyor. Bir iki güne kadar X360 hakkındaki yazımıda bitiririm. Açıkcası üzerinde Windows 7 RC kurdum.  Wm-Ware ile  içinde bir 2003 Server (Web server + SQL ….) ve diğer programlarımızı yerleştirdik.  2 tane Win 7 üzerinde internet paylaşımı ve DHPC makinaya güveniyordum ve güvenimi boşa çıkarmadı.

25 PC üzerindeki Sanal Windows 2003 Server’e bağlandı ve Webserver olarak kullandı. Ayrıca biraz SQL atak ve Ferruh’un yazdığı SQL injection arama programını çalıştırdık.  Bir ara Ferruh salondaki arkadaşlara buyrun deneyin arkadaşlar diye seslenince makinanın görev yöneticisini açıp üzerindeki yükü kontrol ettim.

25 arkadaşın bağlanım SQL injection atağı yaptıkları ve 20 dakika süreyle devam ettikleri anda kafamdaki acaba ? Sorunusun birkaç saniye içerisinde çözüldüğünü gördüm.  Ferruh hadi Server’imizi çökertelim dediğinde RAM kullanımı 2,5GB ve işlemci kullanımı %80 ler civarına ulaştı.  25 dakika süren SQL ataklar sonunda makina hiçbir şekilde hata vermeden çalışmaya devam ediyordu.

Samsung’a fena yüklendik ama yarın yine eğitimde sıkıntı çıkartmayacağını ispatlamış oldu.  Müthiş bir alet…

Neyse eğitim tatlı bir muhabbet ortamında arada bir soru cevap şeklinde geçti. Tabiki Ferruh’un hack konusundaki küçük ipuçlarına hayranlıkla bakan gözlerde vardı 🙂  Küçük ipucu diyorum çünkü Feruh için küçük birer SQL injection ve XSS den ibaretti.  Özelliklede sektörde hala bu tip açıkların süre geldiğini arkadaşlara anlattığında ben dahil herkes pür dikkat dinliyorduk onu.

Çok yararlı bir eğitimdi özelliklede Web yazılımcısı arkadaşlar için gayet yerinde ve sağlam bir eğitim oldu.  Eğitimde Ferruh’un anlattıklarına fazla değinmiyorum. Özelliklede test e-ticaret sayfamızın DB, User, Pass, CC ne varsa birkaç saniyede indirdiğinden pek bahsetmek istemiyorum.  Sonra kaçıran arkadaşlar üzülecekler 🙂

Yarın sabah eğitimin 2. bölümüne geçeceğiz. Yine FM’in çırağı olarak yanında olacağım.   Kaçıranlar için bir video kaydı da malesef ki yok.  Fakat yarın FriendFeed’e  arada resimler çekip koyacağım.  Bu arada az daha unutuyordum. Eğitimi organize eden Zerumax yetkililerine teşekkürü bir borç bilirim.  Sağolsunlar hiç yalnız bırakmadılar ve herşeyi düşünmüşler. Özelliklede ikramları için teşekkür etmek isterim.

Koskocamanda bir semaver ve porselen demlik. Sanki sırf bana getirmişlerdi 🙂

“Web Uygulaması Güvenliği Eğitimi” üzerine 7 yorum

  1. Keşke dediğim eğitimlerden biri daha. Uygulama yazılım tarafım kötü olsada network yapısı olarak sitemi incelemek ve deneyimleri görmek isterdim. Ama katılan arkadaşların adına sevindim.

    Yanıtla
  2. 2 günlük eğitim 750 Ytl + Kdv.
    Tamda öğrenci fiyatı çıkarmışlar 😀
    Yinede orada olmak isterdim..

    Yanıtla
  3. 750 TL için şöyle düşünmek gerekli. Konu ile profesyonel olarak ya da şöyle diyelim, mesleki anlamda ilgileniyorsunuz. Seminerde verilen eğitimin başlıklarına bakın, bunları okuyarak öğrenmek ciddi bir zaman kaybına yol açar. Bilişimde zaman, iş ve dolayısı ile paraya eşittir. Bunları göz önünde bulundurursak bence evde oturup, okuyarak öğrenmeye çalışmak, aktif bir insan için daha da büyük kayıplara yol açabilir.

    Yanıtla
  4. birisi xss mi dedi ferruh benim xss videoma imkansız diyodu o zaman gelsin gözünün önünde yapayım video değil canlı sını yapmaya hazırım hodri meydan evet videoma laf atan herkese gözünün önünde xss nasıl yapılır göstermeye hazırım. Visual basic programcıları xss den fazla konuşmasınlar bu iş c ile yapılır. Ben assembly C# tabanlı bir .net programcısıyım ve Javascript ile Ajax teknolojilerinide iyi biliyorum. Yılardır Sql inject den bahsedip duruluyor adam akllı bir filtreleme yapılarak bi kaç satır kodla kapatılan bu açıkdan neden hala bahsedilir durulur anlamam. Türkiye güvenlik denilince hep sql inject ve xss deniliyor bunlar basit işler bence daha derinlere inilmesi lazım özellikle tampon bellek taşırma yöntemlerini tavsiye ederim . Saygılar .

    Yanıtla
  5. Ülkemizde insanlar akın akın .net, java veya SAP ile db programcılığına koşuyorlar ve gayette güzel kazanıyorlar. Bu şartlar altında low level mimarileri öğrenmek ve kafa yormak kimsenin işine gelmiyor. Ancak biz low level’ciler için iyi tarafıda bu istediğimize eğer gerçekten kafa yorar isek işleyişlerine müdahale edebiliyoruz.

    Yanıtla

Yorum yapın